Essas plataformas seguem dicas sobre como são projetadas e comercializadas a partir de informações legítimas e serviços de comércio eletrônico. Muitos mercados e fóruns cobram uma taxa de assinatura para acessar a plataforma e, em seguida, têm diferentes estruturas de preços para dados, dependendo de quão valiosos eles podem ser. Atualmente, diz Gray, o Russian Market tem tantos dados roubados disponíveis de infostealers que tem cobrado uma taxa fixa baixa, normalmente não mais do que US$ 10, para qualquer subconjunto de dados que os usuários queiram baixar.
“As organizações se tornaram muito boas com sua segurança, e as pessoas também ficaram mais experientes, então elas não são os melhores alvos agora”, para ataques personalizados tradicionais, diz Gray. “Então os invasores precisam de algo que seja menos direcionado e mais baseado no que eles podem usar. Os infostealers são modulares e frequentemente vendidos por assinatura, e essa evolução provavelmente se alinha com a ascensão de serviços de assinatura modernos como streaming de vídeo.”
Os infostealers têm sido especialmente eficazes com o aumento do trabalho remoto e do trabalho híbrido, à medida que as empresas se adaptam para permitir que os funcionários acessem serviços de trabalho de dispositivos pessoais e contas pessoais de dispositivos de trabalho. Isso cria oportunidades para os infostealers comprometerem aleatoriamente indivíduos em, digamos, seus computadores domésticos, mas ainda acabam com credenciais de acesso corporativas porque a pessoa também estava conectada a alguns de seus sistemas de trabalho. Também torna mais fácil para o malware de infostealing contornar as proteções corporativas, mesmo em dispositivos empresariais, se os funcionários puderem ter suas contas pessoais de e-mail ou mídia social abertas.
“Comecei a prestar atenção nisso quando se tornou um problema empresarial”, diz Carmakal, da Mandiant. “E particularmente por volta de 2020, porque comecei a ver mais intrusões de empresas, começando primeiro por comprometimentos de computadores domésticos — por meio de phishing de contas do Yahoo, contas do Gmail e contas do Hotmail de pessoas que não tinham nenhuma relação com qualquer direcionamento empresarial, mas para mim pareciam muito oportunistas.”
Victoria Kivilevich, diretora de pesquisa de ameaças na empresa de segurança KELA, diz que, em alguns casos, os criminosos podem usar mercados de crimes cibernéticos para pesquisar o domínio de alvos em potencial e ver se há alguma credencial disponível. Kivilevich diz que a venda de dados de infostealer pode ser considerada como a “cadeia de suprimentos” para vários tipos de ataques cibernéticos, incluindo operadores de ransomware procurando detalhes de vítimas em potencial, aqueles envolvidos em comprometimento de e-mail comercial e até mesmo corretores de acesso inicial que podem vender os detalhes novamente para outros criminosos cibernéticos.
Em vários mercados de crimes cibernéticos e no Telegram, Kivilevich diz que houve mais de 7.000 credenciais comprometidas vinculadas a contas do Snowflake sendo compartilhadas. Em um caso, um criminoso estava promovendo acesso a 41 empresas do setor educacional; outro criminoso cibernético alega estar vendendo acesso a empresas dos EUA com receitas entre US$ 50 milhões e US$ 8 bilhões, de acordo com a análise de Kivilevich.
“Não creio que tenha havido uma única empresa que tenha vindo até nós e não tenha tido nenhuma conta comprometida por malware de infostealer”, diz Kivilevich sobre a ameaça que os logs de infostealer representam para as empresas, com a KELA dizendo atividade relacionada ao infostealer saltou em 2023. Irina Nesterovsky, diretora de pesquisa da KELA, diz que milhões de credenciais foram coletadas por malware de roubo de informações nos últimos anos. “Esta é uma ameaça real”, diz Nesterovsky.
Carmakal diz que há várias etapas que empresas e indivíduos podem tomar para se proteger da ameaça de infostealers e seus efeitos posteriores, incluindo o uso de produtos antivírus ou EDR para detectar atividades maliciosas. As empresas devem ser rigorosas na aplicação da autenticação multifator entre seus usuários, ele diz. “Tentamos encorajar as pessoas a não sincronizar senhas em seus dispositivos corporativos com seus dispositivos pessoais”, acrescenta Carmakal.
O uso de infostealers tem funcionado tão bem que é quase inevitável que os cibercriminosos procurem replicar o sucesso de ataques de comprometimento como o Snowflake e sejam criativos sobre outros serviços de software empresarial que eles podem usar como pontos de entrada para acesso a uma variedade de empresas clientes diferentes. Carmakal avisa que espera ver isso resultar em mais violações nos próximos meses. “Não há ambiguidade sobre isso”, ele diz. “Os agentes de ameaças começarão a caçar logs de infostealers e procurar outros provedores de SaaS, semelhantes ao Snowflake, onde eles fazem login e roubam dados e, em seguida, extorquem essas empresas.”
